Cierta sensación de desasosiego me recordó que tenía algo pendiente: ¡Dar conclusión a mi artículo: ¿Cumples con la normativa de Protección de Datos? 1/2! Aquella primera parte quedó como una mera introducción para poner orden entre las leyes europeas y españolas, pero apenas respondió a la pregunta que planteaba en el mismo título.
Muchas empresas nos contactan para pedirnos que les preparemos los textohttps://www.impulsosistemas.com/cumples-con-la-normativa-de-proteccion-de-datos-1-de-2/s de Protección de datos para su página Web. Algunas piensan que con eso es suficiente para cumplir (de cara a la galería les digo yo), pero la mayoría no tiene ni idea de que esos textos legales deben tener un soporte documental.
Cualquier empresa residente en la UE que trate datos de una persona, independientemente de su lugar de residencia, o cualquier empresa extranjera que trate datos de ciudadanos de la UE, está obligada a cumplir con el RGPD. Y cumplir con el Reglamento implica realizar un exhaustivo análisis de los datos que se tratan en la empresa, de las funciones de las personas que las tratan y de las medidas de seguridad que se deben aplicar.
Respecto a los datos que tratas, ¿cumples con la normativa?
Debemos dejar por escrito una relación de los tratamientos que realicemos. Debemos especificar cuál es la finalidad de dicho tratamiento, cuál es el colectivo sobre el que se tratan los datos. Y también, qué categorías de datos se tratan (datos identificativos, circunstancias sociales, datos antropométricos, económicos, de salud…), a qué destinatarios se cederán. Por último añadiremos, si los datos se van a ceder a países fuera de la UE, así como el número aproximado de usuarios, duración y extensión geográfica. Y eso tendremos que hacerlo con cada uno de los tratamientos que realicemos. Con los datos de clientes, de personal laboral, de candidatos a un puesto de trabajo, de clientes potenciales y contactos…
Los encargados en la Protección de Datos
Debemos detallar con qué encargados del tratamiento vamos a trabajar (los típicos son la asesoría, la prevención de riesgos laborales, el proveedor de hosting y correo…). Tendremos que firmar un contrato con ellos, dejando constancia de la información que le vamos a transmitir, cuáles son los fines del encargo, qué medidas de seguridad deben adoptar y un largo etc.
Además, tenemos la obligación de supervisar el trabajo de los encargados. Todo desde la filosofía de ”si el encargado se equivoca, la culpa podría ser tuya por no haberlo vigilado, o por no haber elegido al correcto”. Nos queda claro entonces , que los encargados que contratemos deben cumplir a rajatabla con el RGPD, si no, estaremos incumpliendo nosotros también con el mismo.
Personal empleado y normativa de Protección de Datos
También debemos detallar las funciones de los trabajadores, especificando qué datos serán accesibles para ellos. Deben firmar un compromiso de confidencialidad, y debemos formarles e informarles sobre sus funciones y obligaciones en protección de datos. Por mucho que una empresa se esfuerce en cumplir, si un empleado, por desconocimiento, comete un error, la empresa tendrá un serio problema.
Medidas de seguridad
Finalmente, debemos adoptar las medidas de seguridad adecuadas. Esto es hoy algo más dramático, porque el derogado Reglamento de Protección de Datos español de 2007, daba un detalle de qué medidas de seguridad debíamos cumplir según la categoría de datos tratados. Por ejemplo, nos indicaba la necesidad de poner contraseñas en los equipos, de poner cerraduras o de hacer copias remotas. Ahora, el Reglamento europeo nos traslada toda la responsabilidad, diciéndonos algo así como que seamos nosotros quienes decidamos cuáles serán las medidas de seguridad adecuadas y pertinentes. Y que lo hagamos además de forma proactiva. Siempre dependiendo de los tratamientos que estemos realizando.
Para esto debemos realizar un Análisis de Riesgos, donde busquemos los activos, las amenazas y las vulnerabilidades. Y tras el análisis, adoptaremos unas medidas de seguridad que mitiguen esos riesgos. Eso, si no nos vemos obligados a realizar una Evaluación de Impacto de Protección de Datos, si se dan ciertas circunstancias en los tratamientos de datos que realizamos. Esta media lo convierte en algo más complejo todavía.
Para finalizar
No quiero desalentaros. La Ley es exigente, y lo cierto es que los datos que se tratan de las personas así lo merecen. Todos estos requerimientos, y algunos más, los realizamos de forma detallada y responsable en Impulso Cooperativo cada vez que implantamos con un cliente la Protección de datos en su empresa. Estamos preparados a nivel legal y técnico para desarrollar todos estos requisitos. Podemos ayudarte a implantar los protocolos y a formar a la dirección y empleados para que se actúe con arreglo a la compleja normativa de protección de datos.
Departamento Protección de datos